Heartbleed漏洞難防、百萬台Android裝置拉警報

精實新聞 2014-04-14  記者 陳苓 報導

網路安全漏洞「Heartbleed」衝擊谷歌(Google)Android作業系統的智慧手機和平板電腦，數百萬台裝置出現安全危機。谷歌9日表示，2012年發佈的4.1.1版作業系統可能會受Heartbleed影響，但是其他Android版本安全無虞。

彭博社12日報導，網路安全專家表示，4.1.1版系統仍用於數百萬台智慧手機和平板，包括三星電子(Samsung Electronics)和宏達電(2498)等大廠的暢銷機種。谷歌估計，34%的Android裝置使用4.1系列版本，有不到10%容易遭受攻擊。

谷歌針對Heartbleed漏洞，提供了修補辦法，但是更新程式需要手機製造商和電信商進行，整個過程相當曠日費時。Lookout首席安全研究員Marc Rogers指出，駭入Android裝置過程複雜、成功率不高，目前沒有跡象顯示，駭客用Heartbleed漏洞攻擊個別智慧機；他說伺服器涵蓋更多用戶，下手容易，駭客應該會先攻擊伺服器。

美聯社11日報導，網路設備業大廠思科(Cisco Systems)和瞻博網路(Juniper Networks)都表示，主力產品不受影響，但少數商品可能有安全缺失。專家警告，未來其他網路公司可能也會陸續爆出問題。

CNET和華爾街日報報導，谷歌(Google)和網路安全公司Codenomicon 7日宣布，網路通訊加密軟體OpenSSL爆出「Heartbleed」安全漏洞，已存在兩年之久，可能影響全球2/3網站。OpenSSL是各大網站廣泛使用的免費網路通訊加密軟體，部份版本存在Heartbleed漏洞，會讓伺服器記憶體內容曝光，駭客可偷取用戶的機密資料，如帳號密碼、信用卡號等，並可取得伺服器的數位秘鑰，偽裝成伺服器，解密用戶過往的通訊內容。